Como criar Indicadores em Microsoft Defender for Endpoint

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Crie indicadores a partir de observáveis associados do incidente de segurança usando Microsoft Defender for Endpoint.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    . Microsoft Defender for Endpoint A integração permite o aprimoramento do observável para todos os tipos de observáveis mapeados no módulo de mapeamento Observable-Indicador.

    Criar indicadores fornece a capacidade de definir uma lista de indicadores para detecção e para bloquear prevenção e respostas. Você pode criar os indicadores do observável associado do incidente de segurança.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja criar indicadores no Microsoft Defender para Endpoint.
    3. Clique nas listas relacionadas de observáveis associados.
    4. Adicione observáveis existentes ou crie novos observáveis.
    5. Selecione os observáveis.
    6. Em Ações nas linhas selecionadas, clique em Criar indicador no Microsoft Defender .
      Exibição de Entregáveis associados: Selecione Criar indicadores no Microsoft Defender para Endpoint na lista Ações.
    7. No formulário, preencha os campos.
      Campo Descrição
      Observáveis selecionados Observáveis afetados. Esta ação pode ser usada para criar indicadores para vários observáveis. Se você quiser desmarcar um observável, poderá fazer isso desmarcando os observáveis da lista.
      Nota:
      Se os tipos de observáveis compatíveis não forem mapeados, os indicadores não serão criados no Microsoft Defender para esses observáveis.
      Título Título do indicador.
      Descrição Descrição do indicador.
      Tempo de expiração Tempo de expiração do indicador.
      Ações recomendadas Ações recomendadas que devem ser executadas para o indicador.
      Origem Configuração de integração para criar o indicador.
      Ação Ações que serão executadas se o Indicador for descoberto na organização. Os valores possíveis são os seguintes:
      • Aviso
      • Bloquear
      • Auditoria
      • BloqueeCorreção
      • Permitido
      Aplicação A aplicação Microsoft Defender for Endpoint associada ao indicador. Este campo é aplicável somente a um novo indicador e não pode ser usado para um indicador existente.
      Gravidade Gravidade do Indicador. Os valores possíveis são os seguintes:
      • Baixo(a)
      • Média
      • Alto
      Nomes do grupo RBAC Nomes de grupo RBAC aos quais o indicador seria aplicado. Os nomes estão em uma lista separada por vírgulas.
    8. Clique em Criar indicador
    9. Valide a atividade e as mensagens de IU.
    10. Clique em Indicador do Microsoft Defender para exibir os resultados.